Webアプリケーション・ファイアウォールのポリシー詳細
Web Application Firewallポリシーの詳細。
このトピックでは、Webアプリケーション・ファイアウォール・サービスへのアクセスを制御するポリシーの記述の詳細を説明します。
集約リソース・タイプ
waf-family
個々のリソース・タイプ
waf-policy
web-app-firewall
waf-network-address-list
コメント
<verb> waf-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type> ステートメントを使用して記述することと同じです。
waf-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
一般的な変数のみがサポートされています。すべてのリクエストの一般的な変数を参照してください。
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、waf-policyリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えて、WAF_POLICY_READ権限と追加のAPI操作GetWebAppFirewallPolicyが含まれます。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
WAF_POLICY_INSPECT |
|
ListWorkRequests GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs |
| read |
INSPECT + WAF_POLICY_READ |
INSPECT +
|
なし |
| use |
READ + WAF_POLICY_ATTACH WAF_POLICY_DETACH WAF_POLICY_UPDATE |
READ +
|
CreateWebAppFirewall UpdateWebAppFirewall DeleteWebAppFirewall |
| manage |
USE + WAF_POLICY_CREATE WAF_POLICY_DELETE WAF_POLICY_MOVE WEB_APP_FIREWALL_CREATE |
USE +
|
CreateWebAppFirewall |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
WEB_APP_FIREWALL_INSPECT |
ListWebAppFirwewalls
|
ListWorkRequests GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs |
| read |
INSPECT + WEB_APP_FIREWALL_READ |
INSPECT +
|
なし |
| use |
READ + WEB_APP_FIREWALL_UPDATE |
READ + StartLogging UpdateLogging StopLogging |
UpdateWebAppFirewall |
| manage |
USE + WEB_APP_FIREWALL_CREATE WEB_APP_FIREWALL_DELETE WEB_APP_FIREWALL_MOVE |
USE +
|
CreateWebAppFirewall DeleteWebAppFirewall |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
WAF_NETWORK_ADDRESS_LIST_INSPECT |
ListNetworkAdressLists
|
ListWorkRequests GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs |
| read |
INSPECT + WAF_NETWORK_ADDRESS_LIST_READ |
INSPECT +
|
なし |
| use |
READ + WAF_NETWORK_ADDRESS_LIST_UPDATE WAF_NETWORK_ADDRESS_LIST_USE |
READ + UpdateNetwokAddressList |
なし |
| manage |
USE + WAF_NETWORK_ADDRESS_LIST_CREATE WAF_NETWORK_ADDRESS_LIST_DELETE WAF_NETWORK_ADDRESS_LIST_MOVE |
USE +
|
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListWebAppFirewallPolicies
|
WAF_POLICY_INSPECT |
CreateWebAppFirewallPolicy
|
WAF_POLICY_CREATE |
GetWebAppFirewallPolicy
|
WAF_POLICY_READ |
UpdateWebAppFirewallPolicy
|
WAF_POLICY_UPDATE |
DeleteWebAppFirewallPolicy
|
WAF_POLICY_DELETE |
ChangeWebAppFirewallPolicyCompartment
|
WAF_POLICY_MOVE |
ListWorkRequests
|
WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT +WAF_NETWORK_ADDRESS_LIST_INSPECT |
GetWorkRequest
|
WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT |
ListWorkRequestErrors
|
WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT |
ListWorkRequestLogs
|
WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT |
ListNetworkAddressLists
|
WAF_NETWORK_ADDRESS_LIST_INSPECT |
CreateNetworkAddressList
|
WAF_NETWORK_ADDRESS_LIST_CREATE |
GetNetworkAddressList
|
WAF_NETWORK_ADDRESS_LIST_READ |
UpdateNetworkAddressList
|
WAF_NETWORK_ADDRESS_LIST_UPDATE |
DeleteNetworkAddressList
|
WAF_NETWORK_ADDRESS_LIST_DELETE |
ChangeNetworkAddressListCompartment
|
WAF_NETWORK_ADDRESS_LIST_MOVE |
ListProtectionCapabilities
|
WAF_POLICY_INSPECT |
ListProtectionCapabilityGroupTags
|
WAF_POLICY_INSPECT |
ListWebAppFirewalls
|
WEB_APP_FIREWALL_INSPECT |
CreateWebAppFirewall
|
WEB_APP_FIREWALL_CREATE + WAF_POLICY_ATTACH + LOAD_BALANCER_UPDATE |
GetWebAppFirewall |
WEB_APP_FIREWALL_READ |
UpdateWebAppFirewall
|
WEB_APP_FIREWALL_UPDATE + WAF_POLICY_ATTACH + WAF_POLICY_DETACH + LOAD_BALANCER_UPDATE |
DeleteWebAppFirewall
|
WEB_APP_FIREWALL_DELETE + WAF_POLICY_DETACH + LOAD_BALANCER_UPDATE |
ChangeWebAppFirewallCompartment |
WEB_APP_FIREWALL_MOVE |
StartLogging |
WEB_APP_FIREWALL_UPDATE |
UpdateLogging |
WEB_APP_FIREWALL_UPDATE |
GetLogging |
WEB_APP_FIREWALL_READ |
StopLogging |
WEB_APP_FIREWALL_UPDATE |